Solo por esta vez |
En 2023, MGM Resorts detectó un incidente de ciberseguridad y no le quedó más remedio que apagar parte de sus sistemas para contenerlo. Lo que ... siguió fue visible para cualquier cliente: interrupciones, procesos degradados, fricción en la operación y una compañía que, de pronto, tenía que funcionar sin parte de su columna digital. Semanas después, MGM cuantificó el golpe en un impacto negativo aproximado de 100 millones de dólares por este ataque.
Hasta aquí, la historia suena a tecnología. Pero el detalle que hace que este caso sea útil para hablar de liderazgo es otro. Y es que el acceso inicial se habría conseguido engañando al servicio de soporte de TI, el help desk, mediante ingeniería social. Si el punto de ruptura es la interacción humana, entonces el problema no vive solo en las herramientas. Vive en las personas que las usan.
La tecnología puede reducir superficie, poner barreras y alertar. Pero la cultura decide si esas barreras se respetan cuando hay prisa, si las alertas se atienden cuando hay cansancio, si la verificación se mantiene cuando aparece la presión de «lo necesito ya».
Podríamos contar esta historia desde muchos departamentos. Desde finanzas y el cambio de una cuenta bancaria. Desde compras y un proveedor «nuevo» con prisas. Desde recursos humanos y un documento sensible enviado al canal equivocado. Pero, por ser el epicentro del caso de MGM, vamos a seguir con el departamento de soporte informático.
Un departamento donde se resuelven problemas, se desbloquean accesos, se quita fricción para que el trabajo siga. Pero visto desde dentro, es otra cosa. Es una frontera cultural. El punto donde la urgencia intenta convertirse en norma y donde las excepciones piden permiso para existir.
Cuando esa frontera está diseñada para complacer, no hace falta «romper» nada. Basta con empujar en el sitio correcto. Basta con activar el reflejo de ayudar, el miedo a retrasar, la incomodidad de decir que no. Y entonces la seguridad deja de depender de herramientas y pasa a depender de algo que no aparece en ningún inventario: el margen real que tiene una persona para pausar, dudar y verificar.
Y aparecen los atajos.
Cada vez que una organización normaliza un «por esta vez», está acumulando deuda de seguridad. No se ve en un dashboard. No aparece en un comité. Pero existe. Y, como toda deuda, cobra intereses. A veces tarde, a veces de golpe, a veces en el peor momento.
Esa deuda se acelera en dos culturas peligrosas.
La primera es la cultura del héroe. La empresa que celebra al que resuelve a cualquier precio. El que salva el cierre. El que desbloquea lo que nadie desbloquea. El que no pone pegas. En esa cultura, verificar suena a freno, y el freno se penaliza con mirada, comentario o evaluación. Lo curioso es que se vende como alto rendimiento, pero en realidad entrena el atajo.
La segunda es la cultura de la obediencia. La empresa donde ejecutar sin preguntar se considera profesional. Donde la urgencia viene con jerarquía. Donde el «hazlo y luego me explicas» es el estilo. En esa cultura, la ingeniería social tiene campo libre, porque imitar autoridad es más fácil que vulnerar un sistema.
En ambas, la ciberseguridad deja de ser un asunto del área de tecnología y pasa a ser un asunto de dirección. Porque lo que está en juego es quién tiene permiso para frenar, para dudar, para pedir una segunda verificación sin sentir que está molestando.
El caso de MGM también ilumina otro punto ciego. El de los privilegios.
En cualquier organización hay accesos pequeños y hay llaves maestras. Hay permisos que afectan a una tarea y hay permisos que abren muchas puertas. Muchas empresas protegen lo visible, lo que se audita, lo que ya dio sustos, pero dejan el privilegio real escondido detrás de la costumbre. «Soporte necesita hacerlo rápido». «Si ponemos más pasos, el usuario se queja». «Siempre ha funcionado».
Verizon, en su DBIR 2024, indica que el elemento humano fue un componente en el 68 por ciento de las brechas analizadas. IBM, en su informe de coste de brechas 2024, sitúa el coste promedio global en 4,88 millones de dólares. La combinación es incómoda por sencilla: si lo humano aparece tan a menudo y cuesta tan caro, entonces lo humano no puede tratarse como un anexo. Hay que liderarlo.
Una cultura madura hace posible la pausa. No glorifica el «ya». Protege el minuto de verificación como parte del trabajo bien hecho. Esto se puede llevar a la práctica sin convertirlo en un festival de procesos.
Primero, instaurar una norma social no negociable para solicitudes sensibles. Resets de acceso, cambios de pago, peticiones de información delicada. Contar con otro canal de verificación siempre. No «si hay tiempo». Precisamente porque a veces no hay tiempo.
Segundo, tratar los atajos como deuda visible. Si «por esta vez» se repite, ya no es excepción. Es política real. Y si es política real, hay que rediseñar el proceso para que el camino correcto encaje con el mundo real.
Tercero, reforzar el help desk como frontera cultural con guiones claros y respaldo real. Verificar no puede ser heroísmo individual. Tiene que ser estándar. Y para que sea estándar, hay que proteger a quien verifica cuando el otro se impacienta.
Cuarto, revisar privilegios con lógica de impacto. Menos llaves maestras sueltas, más verificación donde el alcance es mayor. Que el privilegio no sea costumbre, sino responsabilidad.
Quinto, alinear incentivos. Si se premia solo la rapidez, la seguridad pierde. Si se premia solo el cumplimiento formal, la gente actúa para la auditoría, no para la realidad. Y es que lo que se premia se repite.
Límite de sesiones alcanzadas
El acceso al contenido Premium está abierto por cortesía del establecimiento donde te encuentras, pero ahora mismo hay demasiados usuarios conectados a las vez.
Por favor, inténtalo pasados unos minutos.
Al iniciar sesión desde un dispositivo distinto, por seguridad, se cerró la última sesión en este.
Para continuar disfrutando de su suscripción digital, inicie sesión en este dispositivo.
¿Tienes una suscripción? Inicia sesión
Juan Carlos Fernández
Articulista de Opinión
Avilés, 1978. Ingeniero Informático con máster en Innovación y Transformación Digital (UOC) y formación en el Advanced Management Program de IE University. He sido director de nuevas tecnologías en Tormo & Asociados e Inmofiban, y webmaster del Grupo Anfi en Canarias durante 12 años. Ideé y desarrollé todas las ediciones de AppToYou, evento tecnológico de referencia en Gran Canaria. Autor del libro ‘Inteligencia Artificial en la experiencia del cliente’. Desde 2022 formo parte de CANARIAS7, donde comencé como responsable de producto digital y actualmente lidero la Dirección de Tecnología, gestionando la estrategia digital y toda la infraestructura tecnológica del medio.